Q Qualys. 


Pivotal Greenplum 認証 (PC) 


認証 コン プラ イア ンス スキ ャ ン に 関心 を お 寄せ いた だ き あ り が と う ご ざい ます 。 認証 を 使用 する と 、 ホ スト を さら に 詳 
し く 評 価 し 、 最も 正確 な 結果 を 取得 する こと が で きま す 。 本 書 で は 、Greenplum デー タベース イン スタ ンス の 認証 に 
関す る ヒン ト と ベス ト プ ラ クティ ス に つい て 説明 し ます 。 


考慮 すべ き 事項 


認証 を 使用 する 理由 

認証 を 使用 する と 、 提供 され た 資格 情報 で 対象 の 各 シ ステ ム に リモ ー ト か ら ロ グイ ン す る こと が で きま す 。 ログ イン 
する こと で 、 テ スト 中 に 更に 多く の こと が 行え る よう に な り ま す 。 その た め 、 各 シス テム の セキ ュ リ ティ 状態 に つい て 、 
より 適切 に 可視 化す る こと が で きま す 。 認証 は 、 コ ンプ ライ アン スス キャ ン で は 必須 で す 。 


資格 情報 の 安全 性 に つい て 


資格 情報 は 、 読 み 取り 専用 と し て シス テム へ の アク セス に 使用 され ます 。 デバ イス 上 で 資格 情報 を 修正 し た り 、 何 
か を 書き 込ん だ りす る と いう こと は 、 決 し て あり ませ ん 。 資格 情報 は 安全 性 を 確保 し た 状態 で 扱わ れ 、 ス キャ ン の 実 
行 中 に の み 使 用 され ます 。 


操作 手順 


まず 、 対象 の ホス ト 上 で Greenplum ユー ザ ア カ ウ ント と 権限 を 設定 し ます 。 次 に 、Qualys Policy Compliance を 使 
]』 し て 次 の 手順 を 実行 し ます 。 1) Greenplum 認証 レコ ー ド を 追加 し ます 。 2) コン プラ イア ンス スキ ャ ン を 開始 し ます 。 
3) 認証 レポ ー ト を 実行 し て 、 ス キャ ン 済 み の 各 ホス ト の 認証 ステ ー タ ス ( 「Passed」 また は 「Failed」) を 表示 し ます 。 


Greenplum の 設定 


Greenplum デー タベース は 、PostgreSQOL オー プン ソー ステ クノ ロジ に 基づき ます 。 Greenplum デー タベース で 
Qualys コン プラ イア ンス スキ ャ ン を 正常 に 機能 させ る に は 、 I に 、 次 の アカ ウン ト と 権限 が 存在 
し て いる 必要 が あり ます 。 アカ ウン ト を 設定 し 、 権限 を 付与 する た め に 、 以下 の スク リプ ト の セッ ト が 用 意 さ れ て い ヨ 
す 。 注記 - これ ら の スク リプ ト で は 、postgres な どの スー パー ユー ザ ア カ ウ ント が 必要 に な り ま す 。 スー パー ユー ザ 
アカ ウン ト で デー タベース に 接続 し 、 次 の 順番 で スク リプ ト を 実行 し て くだ さい 。 


+ 


[ 


が 


1) Greenplum イン スタ ンス で の ユー ザ ア カ ウ ント の 作成 
次 の スク リプ ト に より QUALYS SCAN と いう 名 前 の ユー ザ ア カ ウ ント が 作成 され ます 。 


CREATE ROLBE qualys scan WITH ENCRYPTBED PASSWORD [に ここ に パス ワー ド を 入力 ] LOGIN: 


注記 - イン スタ ンス の すべ て の デー タベース を スキ ャ ン す る 場合 、 デー タベース ご と に ユー ザ ア カ ウ ント を 作成 する 
必要 は あり ませ ん 。 た だ し 、 各 デー タベース で 以下 に 示す 手順 2 と 手順 3 を 行う 必要 が あり ます 。 


無断 複写 ・ 転 載 を 禁じ ます 。 2020 年 クキ リス ジャ パン 株 式 会 社 1 


2) 接続 デー タベース で の スキ ャ ン ユ ー ザ アカ ウン ト に 対す る 権限 の 付与 (オプ ショ ン ) 


全 才 > 


デフ ォ ル ト で は 、 初期 設定 
SQL 文 で クエ リ (PG SHADOW ビュ ー 
し た 後 、 不 足し て いる 権 


時 の デフ ォ ル ト の 権 


限 が 変更 きれ て いな けれ ば 、 ス キャ ン ユ ー ザ アカ ウン 
は 除く ) を 実行 する た め の 権限 が あり ます 。 また 、 ま ず 手 順 3 で 4 
限 を 付与 する こと も で きま す 。 


に は 既に 
限 を 確認 


GRANT CONNECT ON DATABASE [Current database name] TO qualys_scan; 
GRANT USAGE ON SCHEMA PG CATALOG TO qualys_scan; 
GRANT SELECT ON PG _ CATALOG.PG SETTINGS TO qualys_scan; 
GRANT SELECT ON PG CATALOG.PG USER TO qualys_scan; 
GRANT SELECT ON PG CATALOG.PG GROUP TO qualys scan: 
GRANT SELECT ON PG CATALOG.PG ROLES TO qualys scan: 
GRANT SELECT ON PG CATALOG.PG SHADOW TO qualys_ scan: 
GRANT SELECT ON PG CATALOG.PG CLASS TO qualys scan: 
GRANT SELECT ON PG CATALOG.PG STAT ACTTVITY TO qualys scan: 
GRANT SELECT ON PG CATALOG.PG LOCKS TO qualys scan: 


GRANT SELECT ON PG CATALOG.PG DATABASE TO qualys scan: 


GRANT SELECT ON PG CATALOG.PG_ NAMESPACE TO qualys_scan: 
GRANT SELECT ON PG CATALOG.PG_ TABLESPACE TO qualys scan: 
GRANT SELECT ON PG CATALOG.PG_AUTHID to qualys_scan: 


か 決定 する こと が で きま す 。 


3) スキ ャ ン ア カウ ント の 権限 の 確認 


スキ ャ ン に 使用 され る ユー ザ ア カ ウ ント で 不足 し て いる 
意 し て いま す 。 これ ら の スク リプ ト は 、 人 Greenplum_ Auth verx.x.txt ファ イル 内 に あり ま 


ヨル ピー 
EX 


ます 。 この スク リプ ト に より 、 す 


E さ れ て いる か どう か を 判断 する た め 


PostgreSQL 8.3.23 (Greenplum Database $.16.0) 


qualys scan 

qualys scan 

DOSteres 

PG_ CATALOG 

PG_ CATALOG.PG_ SETTINGS 
PG_ CATALOG.PG_USER 

PG_ CATALOG.PG GROUP 

PG_ CATALOG.PG ROLES 

PG CATALOG.PG SHADOW 
PG CATALOG.PG CLASS 

PG CATALOG.PG STAT _ ACTIVITY 
PG_ CATALOG.PG LOCKS 

PG CATALOG.PG DATABASE 
PG_ CATALOG.PG NAMESPACE 
PG CATALOG.PG TABLESPACE 
PG_ CATALOG.PG AUTHID 

(17 rows) 
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注記 - PG CATALOG.PG SHADOW ビュ ー で は 、 機 密 情 報 が 含 
ド や プレ ー ン テキ スト の パス ワー ド の ロー ル 検 出 を チェ ッ ク す る 場合 ( 
か ら の "passwd カラ ム の 値 を シグ ネ チ ャ 内 に 返さ な いよ うに 保 語 


こ 使 


まれ る 可能 司 


E が あり ます 。 これ は 空 の パス ワー 


限 の 特定 


こ 、 ス ー パ ー ユ ー ザ が 、 


> | 


用 


光 


| 


に 利 


H で きる スク リプ ト を Zip アー カイ ブ 内 に 


され ます 。 SQL クエ リ で は 、 こ の ビュ ー 


E し ます 。 この よう な 検出 の サポ ー ト を 求め る か どう 


す 。 適切 な 権限 が 正しく 


デー タベース に 接続 する こと で スク リプ ト を 実行 し 


べ て の 必 天上 の 状態 を 表示 する 出力 が 生成 され ます 。 


<--- 現 在 ロ グ オ ン し て いる デ 


タベース バー ジョ ン 


<--- 現 在 ロ グ オ ン し て いる ロー ル 名 
PASSED - account exists 

PASSED - account can connect to current database 
PASSED - USAGE privilege exists 
PASSED - SELECT privilege exists 
PASSED - SELECT privilege exists 
PASSED - SELECT privilege exists 
PASSED - SELECT privilege exists 
SELECT privilege exists 
SELECT privilege exists 
SELECT privilege exists 
PASSED - SELECT privilege exists 
PASSED - SELECT privilege exists 
PASSED - SELECT privilege exists 
SELECT privilege exists 
PASSED - SELECT privilege exists 


PASSED - 
PASSED - 
PASSED - 


PASSED - 


4) $MASTER_DATA_DIRECTORY/pg_hba.conf ファ イル で の クラ イア ント 認証 の 設定 


Greenplum で は 、 さ ま ざ ま な クラ イア ント 認証 方 法 が 提供 され て いま す 。 特定 の クラ イア ント 接続 を 認証 する た め の 
方 法 は 、 (クラ イア ント ) ホス ト の アド レス 、 デー タベース 、 お よび ユー ザ に 基づき 選択 で きま す 。 クラ イア ント 認証 は 


+ 


成 フ ァ イ レ に よっ て 制御 され ます 。 この 構成 ファ イル は 、 通 常 pg hba.conf(hba は host-based authentication (ホス 


ト ベ ー ス の 認証 ) の 略 ) と いう 名 前 で 、 デ ー タ ベー スク ラス タ の デー タデ ィ レ クト リ に 保存 され ます 。 initdb に よっ て 
デー タデ ィ レ クト リ ($MASTER_DATA DIRECTORY) が 初期 化 さ れる と 、 デフ ォ ル ト の pg_hba.conf ファ イル が イン 


スト ー ル され ます 。 構成 ファ イル を 他 の 場所 に 保存 する こと も で きま す 。 


クラ イア ント 認証 の SMASTER_DATA DIRECTORY/pg hba.conf file ファ イル に つい て 、 以下 の サン プル 設定 を 
参照 し て くだ さい 。 “ databases "に は 、 複 数 の デー タベース 名 を カン マ で 区 切っ て 入力 で きま す 。 “ address "に は 、 


スキ ャ ナ の IPV4 また は IPV6 アド レス 範囲 を 入力 で きま す 。 


プレ ー ン テキ スト また は SSL で 暗号 化 さ れ た TCP/IP ソケット で の パス ワー ド 認 


認証 レコ ー ド の パス ワー ド を 入力 し ます 。 


host [databases] qualys scan [address] 
また は 
host all qualys scan [address] 


SSL で 暗号 化 さ れ た TCP/IP ソケット で の パス ワー ド 認 証 
認証 レコ ー ド の パス ワー ド を 入力 し ます 。 


hostssl [databases] qualys scan [address] 
また は 
hostssl all qualys scan [address] 


md5 


md5 


md5 


SSL で 暗号 化 さ れ た TCP/IP ソケット お よび クラ イア ント 証明 書 で の パス ワー ド 認 証 は 、SSL 接続 の 起動 時 に 要求 され ます 
認証 レコ ー ド の パス ワー ド 、 ク ライ アン ト 証 明 書 、 お よび 秘密 鍵 を 入力 し ます 。 


hostssl [databases] qualys scan [address] 
また は 

hostssl all qualys scan [address] 
証明 書 に よる 認証 

認証 レコ ー ド の クラ イア ント 証明 書 と 秘密 鍵 を 入力 し ます 。 
hostssl [databases] qualys scan [address] 
また は 

hostssl all qualys scan [address] 


Qualys 認証 スキ ャ ン 


md3 clientcert=1 


md3 clientcert=1 


cert 


cert 


Greenplum 認証 レコ ー ド ーー 
| New Y 
コン プラ イ アン スス キャ ン を 実行 する デー タベース イン スタ ン | operatng systems. > | 
ス こ と に Pivotal Greenplum レコ ー ド を 作成 し ます 。 Unix 認 | Na a SSN y 
証 が 必要 で ある た め 、 デー タベース を 実行 し て いる ホス ト の 上 | 
Unix レコ ー ド も 必要 に な り ます 。 ta: の 
Databases.… 2 | IBM DB2 
操作 手順 VMware-- 12 InformixDB 
「Scans」 > 「 Authentication ] > 「New 」 > 「 Databases 」 > System Record Templates... b ata 
「Pivotal Greenplum Record」 を 選択 し ます 。 (Qualys PC が a ee 
有効 な アカ ウン ト で の みみ 使用 で きま す ) 。 MS SQL 
Download... EN | MySQL 

必要 な 情報 Oracle 
認証 に 使用 する ユー ザ ア カ ウ ント 、 認証 を 行う デー タベース emm 
イン スタ ンス 、 デー タベース が イン スト ー ル され て いる ポー ト 
(デフ ォ ル ト は 3432) を 指定 し ます 。 PostgreSQL 
中 = 、 A Sybase 
使用 する 認証 方 法 は 、 サ ー バ の 設定 に よっ て 異な り ま す 。 
次 の よう な 指定 方 法 が あり ます 。 
- パス ワー ド (「Login Credentials」 タ ブ で 入力 する か 、 Vault か ら 取 得 し ます ) 。 
- クラ イア ント 証明 書 (「Private Key / Certificate」 タ ブ で 入力 し ます )。 
- パス ワー ド お よび クラ イア ント 証明 書 (両方 の タブ で 値 を 入力 し ます )。 

New Pivotal Greenplum Record Tum help tips: On | Off LaunchHelp 
| Record Title Authentication | 

Tell us the user accountto use for authentication,the database instance you want to authenticate to, andthe port where the 

database is installed. 

Private Key / Certificate Ui eg 

Unix Database Name*: postaresql_db 

IPs Port 5432 | (Defaul is 5432) 

Comments Provide a list of FQDNs for all hostIP addresses on which a custom SSL certificate signed by a trusted root CAis installed. 


This is required if you choose SSL Verify 


Hosts: host.domain, host.domain,.…. 


SSL verification is skipped by default. Seledtthis option to verify that the server's SSL certificate is valid and trusted. 


SSL Vefiry: 同 (server must support SSL) 


| For authentication, you can use a password, a client certificate, or both (depending on your server settings). | 
To use a client certificate, enter it on the Private Key/Certificate tab. 


Get password from vau 
Password: YY 


Confirm Password* で で の る る る の の 


cmen WET 


r 
に 
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SSL の 必要 性 


SSL を 使用 する と 、 デー タベース に 安全 に 接続 で きま す 。 デー タベース サー バ が SSL に 対応 し て いる 場合 、「SSL 
Verify」 を 選択 すれ ば 、SSL で 保護 され た リン ク を リク エス ト す る こと に な り ま す 。 サー バ の SSL 証明 書 の 検証 も 実 
施さ れ ま す 。 デフ ォ ル ト で は 、 こ の オプ ショ ン は false に 設定 され て いま す 。 


Greenplum 構成 ファ イル 


「Unix」 タ ブ で 、Unix ホス ト (IP アド レス ) 上 の Greenplum 構成 ファ イレ へ の 完全 パス を 指定 し ます 。 (IIPs」 タ ブ に 
表示 され て いる ) こ の レコ ー ド の すべ て の TP の ファ イル は 、 同じ 場所 に ある 必要 が あり ます 。 


New Pivotal Greenplum Record Tu help tips: On | Off Launch Help 
| Record Title Unix | 
Login Credentials Enter the full path to the PostgreSQL configuration file on your Unix hosts. The file must be in the same location for all hosts (IPs) 


in this record. If different, create another record 
Private Key / Certificate 


Configuration File: var/lib/pgsal/9.3/data/postgresql.conf 
| example: Marib/pgsqldata/postqresqlconf 
IPs 
Comments 


レコ ー ド に 追加 する IP 


入力 され た 資格 情報 を 使用 に て スキ ャ ナ が ログ イン する 必要 が ある Greenplum デー タベース の TP を 選択 し ます 。 
Unix 認証 が 必要 で ある た め 、 同じ IP の Unix レコ ー ド も 必要 に な り ま す 。 


New Pivotal Greenplum Record Launch Help 


Record Title TPs ト 


Login Credentials Add IPs to your Pivotal Greenplum record 


Private Key / Certificate Enter or Select IPs/Ranges: Select IPsRanges | SelectAsset Group | Remove | Clear 


に 192.168.0.87-192.168.0.92,192.168.0.200| 
Unix 


— Display each IP/Range on new line 


最終 更新 日 : 2020 年 6 月 19 日 
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